SocGholish Malware gebruikt gecompromitteerde sites om ransomware te verspreiden

Een wijdverbreide cyberbeveiligingsdreiging met de naam SocGholish maakt van eenvoudige software-updates een wereldwijde valkuil voor slachtoffers, zo blijkt uit nieuw onderzoek van Trustwave SpiderLabs, een bedrijf van LevelBlue.

Deze geavanceerde dreiging, ook bekend als FakeUpdates , is niet zomaar een stukje schadelijke code; SocGholish werkt als een geavanceerd Malware-as-a-Service ( MaaS )-platform. Deze dienst stelt partners in staat om het SocGholish-netwerk te gebruiken om krachtige malware (zoals ransomware) te verspreiden en gevoelige informatie van bedrijven wereldwijd te stelen. SocGholish is naar verluidt actief sinds 2017.

De operatie wordt uitgevoerd door een cybercriminele groep genaamd TA569. Hun aanvalsmethode is eenvoudig maar zeer effectief: een normale software-update, zoals die voor een webbrowser of Flash Player, misleidt gebruikers tot het downloaden van schadelijke bestanden.

Om de eerste aanval uit te voeren, infecteert TA569 legitieme websites en injecteert het kwaadaardige scripts. Vaak richten ze zich op kwetsbare WordPress-sites door zwakke plekken zoals gecompromitteerde "wp-admin"-accounts uit te buiten. De criminelen gebruiken ook een techniek genaamd Domain Shadowing, waarbij ze in het geheim kwaadaardige subdomeinen aanmaken op vertrouwde websites om beveiligingscontroles te omzeilen.

Onderzoek toont aan dat TA569 andere criminele groepen tegen betaling toegang biedt tot SocGholish-infectiemethoden, en fungeert als een Initial Access Broker (IAB). Hun motivatie is voornamelijk financieel van aard, aangezien hun bedrijfsmodel draait om het anderen mogelijk maken te profiteren van aanvallen. Een van de bekendste groepen die SocGholish gebruiken, is Evil Corp, een Russische cybercrimeorganisatie met banden met de Russische inlichtingendiensten.

Wat recente activiteiten betreft, merkten Trustwave-onderzoekers op dat het platform begin 2025 werd gebruikt om de actieve RansomHub -ransomware te verspreiden, wat leidde tot recente, zeer ingrijpende aanvallen op de gezondheidszorg. Een voorbeeld hiervan was RansomHub die SocGholish gebruikte om kwaadaardige Google Ads te verspreiden die de HR-portal van Kaiser Permanente imiteerden, wat leidde tot latere aanvallen op Change Healthcare en Rite Aid.

Onderzoekers hebben ook een door de staat gesponsorde link geïdentificeerd, aangezien er een connectie was met de Russische overheid via de militaire inlichtingendienst, GRU Unit 29155, waarbij een van hun ladingen, de Raspberry Robin-worm , werd gedistribueerd door SocGholish.

Dit bewijst de verreikende impact van SocGholish door vertrouwde webinfrastructuur om te vormen tot "een infectievector", legt Cris Tomboc, cyber threat intelligence-analist bij Trustwave, uit in de blogpost die gedeeld werd met Hackread.com.

De exploitanten gebruiken verkeersdistributiesystemen (TDS) zoals Keitaro en Parrot TDS om slachtoffers te filteren op basis van factoren zoals hun locatie of systeeminstellingen. Zo wordt ervoor gezorgd dat "alleen de beoogde doelen worden blootgesteld aan de lading", aldus het rapport.

Zodra een systeem is geïnfecteerd, kan de malware een breed scala aan vervolgbedreigingen verspreiden. De payloads omvatten verschillende ransomwarefamilies, zoals LockBit en RansomHub, Remote Access Trojans (RAT's) zoals AsyncRAT en diverse programma's die gegevens stelen.

Dit is een belangrijke bevinding, omdat het aantoont dat SocGholish's vermogen om zich aan te passen aan verschillende doelen en legitieme websites om te zetten in grootschalige platforms voor de distributie van malware, de status van het virus als een ernstige bedreiging voor organisaties overal ter wereld versterkt.